技术支持
技术支持:400-0662-123
24小时服务热线
产品咨询与购买
产品咨询与购买
在线客服,高防咨询,解决方案
售后支撑
运维售后QQ:198535
请添加QQ进行售后咨询


·

当前位置: 首页 > 新闻资讯 > 如何防御DDoS攻击

如何防御DDoS攻击

时间:2019-09-09 15:54:11 编辑:滴盾网络

 


高防服务器能够有效的防御百分之九十几的DDOS攻击,而一个好的BGP线路加上进出大流量的拥有高防防火墙机房几乎可以无视DDOS攻击。

分布式拒绝服务攻击是每个企业最糟糕的噩梦。一分钟前,一切都正常。一分钟后,您的基础设施却遭遇来自互联网的虚假流量的海啸。合法用户发现自己被锁定,而你的生意却无法正常进行,除非你提前租用了优质的高防BGP服务器,为自己做好准备,否则你无能为力。

如今,攻击者可以轻松地执行DDoS攻击。由成千上万台受到攻击的PC组成的僵尸网络可以廉价租用,并且可以在地下市场上轻松获得能够自动攻击的软件。据记录,每秒数十吉比特的攻击达到峰值,每年的峰值攻击规模都在增长。

虽然一些证据表明,在经济动机的犯罪企业中,大规模的暴力DDoS攻击已经失宠,但几乎没有迹象表明DDoS会更普遍地下降。 DDoS攻击是如此难以阻止,以至于一些公司投降敲诈勒索并不是闻所未闻,悄悄地向攻击者交出数十或数十万美元的保护金,以使问题消失。

如果没有支付,完全阻止确定的DDoS攻击是非常困难的。但是,在系统设计和实时操作期间,组织可以采取四种一般措施来降低真实用户和客户在攻击期间遭受破坏的风险。成功的防御涉及使用所有四种技术:

1.过度配置

许多DDoS攻击本质上是暴力攻击,过度配置是一种强力防御。你的对手只需要给你足够的流量来压倒你的容量。通过配置比正常操作期间预期更多的流量,您可以降低成功的机会并限制对用户的影响。您不一定需要提供40Gbps的攻击 - 并非所有攻击者都拥有庞大的僵尸网络武器库 - 但您的目标应该是准备流量,这是您在正常操作中经历的许多倍。

有些人在设计网络时,倾向于提供最高预期的真实流量。例如,电子商务网站可能为季节性销售高峰提供足够的容量。这几乎不足以抵御大规模的DDoS攻击。如果正常业务意味着每天访问60,000次,那么预计DDoS攻击可以在一分钟内轻松地发送大量流量。这意味着在一次24小时的攻击中就有8600万次“访问”。仅提供60,000次访问的网站将很快陷入困境。

构建硬件基础架构时,一个好的经验法则是提供正常峰值流量的十倍。计算出您曾经拥有的最多流量,将其乘以10,并部署足够的硬件以至少应对该级别的活动。

类似的规则适用于带宽,因此您必须确保您的合同足够灵活,以允许进入系统的流量“突发”到正常音量的许多倍。您不希望您的连接提供商关闭您网站的所有流量,以防止对其他客户造成附带损害。计算出您的网站在正常情况下消耗的最大带宽量,然后检查您的合同是否允许持续爆发十倍于该数量的内容。请记住,处理这么多的流量也会大大超出您的支票簿。

2.远程/冗余监控

如果正常运行时间对您很重要,那么您可能已经拥有适当的系统来监控站点的性能和可用性。但是,如果内部监控系统也受到DDoS攻击,那么它们的实用性可能会有限。如果设计为在网络出现问题时提醒您的系统与其监控的站点位于同一瓶颈后,则警报可能无法及时进入您的电话或收件箱。

当你受到攻击时,很快就会知道你受到了攻击。更可靠的替代方案是订阅第三方服务,该服务可以从互联网上的许多其他地方全天候监控您的网站,从真正的最终用户角度评估其响应能力,并在发现问题时向您的手机提供警报。

3.转储日志

您的Web服务器日志无法区分真正的访问者和僵尸网络节点。两次访问通常都以相同的方式记录。即使您的服务器配置正确并且能够从DDoS攻击洪水中恢复,如果其日志堆积起来,如果服务器因日志变得太大而失败,您通常会受到伤害。虽然日志数据可能在攻击结束后用于取证目的,但其价值相对有限。服务器能够在攻击期间响应真正的用户,这一点非常重要。

如果您发现日志文件变得非常快,那么您将面临保留数据和丢失服务器,丢失数据和保留服务器之间的选择。如果您的Web服务器是关键任务且大型日志文件阻止您恢复,则应明确选择:转储日志。

4.了解供应商的人员

虽然在技术上可以在本地配置网络硬件以丢弃一些恶意数据包,但理想情况下,您希望将受限制的流量限制在尽可能靠近源的位置。这意味着必须与您的上游提供商进行协调。

不幸的是,如果你的对手已经正确地进行了侦察,他将在最不方便的时间发动攻击。提示您收到传入DDoS的短信很有可能会在周六早上凌晨1点到达,此时您和您的常规ISP联系人都将在周末休息。

您知道呼叫的正常支持号码可能是语音邮件,夜班员工可能没有专业知识或权限来帮助,自动售票系统可能不像在工作时间那样全面参与。如果您找不到任何有能力帮助您的人,那么您将面临两到三天的性能受损或彻底停机的前景。

在这些情况下,必须在ISP的网络运营中心获得直接电话号码。如果你知道如何联系合适的人来帮助关闭攻击,无论什么时候,你都会遇到DDoS罢工时头疼的问题。

不言而喻,大多数安全漏洞都是人为问题。幸运的是,这有时也适用于解决方案。

滴盾安全动态bgp数据中心配备的万兆抗DDoS防火墙、 负载均衡系统、负载路由交换等网络设备, 我们拥有行业领先的网络设备及防护体系。 为您提供365×24小时的运维技术支持, 400全国咨询服务热线,近百人的技术服务团队, 全方位解决DDOS攻击难题为您的服务器安全稳定保驾护航。 有DDOS攻击方面问题的老板们,可以直接联系我们的客服进行解决。